Re: (OT) Anhänge abweisen mit rspamd

Katharina Knuth katharina.knuth at icloud.com
Di Apr 13 15:12:46 CEST 2021 

Am 13.04.21 um 12:58 schrieb Katharina Knuth:
> Am 13.04.21 um 11:50 schrieb Katharina Knuth:
>> Am 13.04.21 um 11:37 schrieb Katharina Knuth:
>>> Am 12.04.21 um 14:57 schrieb Carsten Rosenberg:
>>>> Hey,
>>>>
>>>> Wenn die Meldung nicht angepasst wird, ist erstmal alles "Spam".
>>>>
>>>> Ich würde das Blockieren von Extensions auch nicht (mehr) über mime
>>>> types und Punkten machen. Denn wenn man die selbstlernenden Module 
>>>> vom
>>>> Rspamd verwendet, lernt der dann auch die Mail mit dem Firefox 
>>>> Installer
>>>> vom Kollegen. Das gibt dann schnell viele False Positives. Das 
>>>> mime_type
>>>> Plugin würde ich einfach beim Default lassen
>>>>
>>>> Mein Ansatz wäre Multimaps:
>>>>
>>>> https://rspamd.com/doc/modules/multimap.html#examples
>>>>
>>>> BANNED_EXTENSIONS {
>>>>    type = "filename";
>>>>    filter = "extension";
>>>>    map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>>>>    message = "A restricted file type was found";
>>>> }
>>>>
>>>> In die Map kommt dann zeilenweise eine Extension
>>>>
>>>> exe
>>>> scr
>>>> ...
>>>>
>>>> Rspamd macht hier auch die Konvertierung in den Content-Type und 
>>>> prüft
>>>> den. Außerdem Filenames in Zips.
>>>>
>>>> Hier mache ich keinen REJECT!
>>>>
>>>> Sondern dann in den Force Action, wo man das dann auch schon noch mit
>>>> ner Whitelist verknüpfen und ne Custom Message setzen kann.
>>>>
>>>>    BANNED_EXTENSIONS {
>>>>      action = "reject";
>>>>      expression = "BANNED_EXTENSIONS & !WL_BANNED_EXTENSIONS";
>>>>      message = "REJECT - Attachment type is forbidden. (support-id:
>>>> ${queueid})";
>>>>    }
>>>>
>>>
>>> das habe ich jetzt umgesetzt. Ist auch im WebUi sicht- u. editierbar.
>>> Aber alle anderen, die vorher funktioniert haben, sind nicht mehr
>>> sicht- u. editierbar. Das einzige, was ich verändert habe, is der
>>> Pfad. Vorher bei allen Einträgen
>>>
>>> map = "${LOCAL_CONFDIR}/local.d/x.map"; Jetzt
>>>
>>> map = "${LOCAL_CONFDIR}/local.d/map.d/x.map";
>>>
>>> Hier komplett
>>>
>>> # local.d/multimap.conf
>>>
>>> # whitelist the client by from
>>> FROM_WHITELISTED {
>>>   type = "from";
>>>   map = "${LOCAL_CONFDIR}/local.d/map.d/whitelist_from.map";
>>>   action = "accept"; # Prefilter mode
>>>   description = "Whitelist map for FROM_WHITELISTED";
>>> }
>>>
>>> # blacklist the client by from
>>> FROM_BLACKLISTED {
>>>   type = "from";
>>>   map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from.map";
>>>   action = "reject"; # Prefilter mode
>>>   description = "Blacklist map for FROM_BLACKLISTED";
>>> }
>>>
>>> # whitelist the client by ip address
>>> WHITELIST_IP_ADDRESS {
>>>       type = "ip";
>>>       prefilter = true;
>>>       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_whitelist.map";
>>>       score = 0.0;
>>>       action = "accept";
>>> }
>>> BLACKLIST_IP_ADDRESS {
>>>       type = "ip";
>>>       prefilter = true;
>>>       map = "${LOCAL_CONFDIR}/local.d/map.d/ip_blacklist.map";
>>>       action = "reject";
>>> }
>>>
>>> FROM_BLACKLISTED_REGEX {
>>>    type = "header";
>>>    header = "From";
>>>    map = "${LOCAL_CONFDIR}/local.d/map.d/blacklist_from_regex.map";
>>>    regexp = true;
>>>    action = "reject"; # Prefilter mode
>>>    description = "Blacklist map for FROM_BLACKLISTED_REGEX";
>>> }
>>>
>>> BANNED_EXTENSIONS {
>>>   type = "filename";
>>>   filter = "extension";
>>>   map = "${LOCAL_CONFDIR}/local.d/maps.d/banned_extensions.map";
>>>   message = "A restricted file type was found";
>>> }
>>>
>>> SUBJECT_BLACKLISTED {
>>>      type = filename;
>>>      filter = extension;
>>>      map = "${LOCAL_CONFDIR}/local.d/map.d/subject_blacklisted.map";
>>>      symbol = "SUBJECT_IS_BLACKLISTED";
>>>      action = "reject";
>>>      message = "Forbidden subject!";
>>> }
>>>
>>> Wie ist das zu erklären?
>>>
>> das Log
>>
>> Apr 13 11:44:08 server rspamd[24514]: <39g57x>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/ip_whitelist.map
>> Apr 13 11:44:08 server rspamd[24514]: <qsgtkn>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/ip_blacklist.map
>> Apr 13 11:44:08 server rspamd[24514]: <88km85>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/blacklist_from_regex.map
>> Apr 13 11:44:08 server rspamd[24514]: <1ny31f>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/maps.d/banned_extensions.map
>> Apr 13 11:44:08 server rspamd[24514]: <47yqjk>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/blacklist_from.map
>> Apr 13 11:44:08 server rspamd[24514]: <euqup3>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/subject_blacklisted.map
>> Apr 13 11:44:08 server rspamd[24514]: <huf8zj>; map; rspamd_map_add: 
>> added map /etc/rspamd/local.d/map.d/whitelist_from.map
>>
> 
> und ausserdem ist ALLES im Configdump enthalten. Es ist mir ein
> Rätsel ..
> 
  jetzt hab ich alles mit map.d im Pfad entfernt. Und Geht! Sehr 
merkwürdig ..

-- 
freundliche Grüße,
Sincerely yours,

Katharina Knuth

Mehr Informationen über die Mailingliste Postfixbuch-users